Das Callcenter wird pl\u00f6tzlich von Anrufen \u00fcberh\u00e4uft, eine gro\u00dfe Anzahl ver\u00e4rgerter Kunden beschwert sich \u00fcber den Ausfall eines wichtigen Dienstes und verlangt Auskunft zu Umfang und Dauer der Unterbrechung. Und die IT-Mitarbeiter erkennen zwar Symptome von St\u00f6rungen, k\u00f6nnen aber die Ursachen nicht kl\u00e4ren. Bald berichten erste Social-Media-Postings von Kunden \u00fcber die St\u00f6rungen, und sie geben Hinweise dazu, wie eigene Daten gesch\u00fctzt werden k\u00f6nnen oder der Dienst trotzdem weiter genutzt werden kann. Die Unternehmenskommunikation, die IT-Security-Abteilung und weitere Fachbereiche beginnen unterdessen mit Ma\u00dfnahmen zur Eind\u00e4mmung und Bew\u00e4ltigung des Vorfalls \u2013 doch leider oft unabh\u00e4ngig voneinander und ohne zielgerichteten Plan dahinter.<\/p>\n\n\n\n
Ein vollst\u00e4ndiges Bild der Lage ist weiterhin nicht vorhanden. Und das hat Folgen: Die Unternehmenskommunikation beantwortet Presseanfragen aufgrund der mangelhaften Informationslage nicht oder nur unzureichend. Abteilungen schieben Zust\u00e4ndigkeiten zur Bew\u00e4ltigung des Vorfalls hin und her. Stakeholder erhalten unterschiedliche Ausk\u00fcnfte \u2013 oder auch gar keine. Wiederanlaufma\u00dfnahmen werden falsch priorisiert oder enthalten einige (meist datenschutzrechtliche) Nebenwirkungen, und nicht selten versagen sie gleich ganz ihren erhofften Dienst. L\u00fccken in der Alarmierungs- und Eskalationskette lassen dringende Vorg\u00e4nge in Vergessenheit geraten. Alle Beteiligten stehen unter hohem psychischem Stress, was wiederum zu einer Vielzahl handwerklicher Fehler f\u00fchrt \u2026<\/p>\n\n\n\n <\/p>\n\n\n\n Unser Beispiel zeigt eines deutlich auf: Die Geschwindigkeit und die Komplexit\u00e4t eines Cybervorfalls sowie der Stress, unter dem unvorbereitete Mitarbeiter durch ihn stehen, \u00fcberfordern die betroffenen Unternehmen regelm\u00e4\u00dfig. Monet\u00e4re Verluste durch Produktionsausfall und DSGVO-Bu\u00dfgelder sowie negative Reputation sind h\u00e4ufig die Folgen. Hinzu kommt der Verlust der Deutungshoheit in der Situation: Man verliert die Kontrolle \u00fcber die Interpretation und Deutung des Vorfalls gegen\u00fcber den betroffenen Stakeholdern, das \u00f6ffentliche Bild des eigenen Unternehmens ger\u00e4t in Gefahr und nachhaltige Imagesch\u00e4den werden riskiert.<\/p>\n\n\n\n Kurzum, die Risiken sind schnell bedeutend, und der \u00c4rger ist es \u00fcblicherweise auch. Besonders gilt Letzteres, wenn zuvor sogar geeignete Software beschafft worden ist und Prozesse zur Vorfallserkennung und -bew\u00e4ltigung eingef\u00fchrt worden sind. Man war doch vorbereitet! Oder etwa nicht? Nun, oft sind eben zwar grundlegende erste Schritte gegangen, doch ist der Weg noch nicht weit genug beschritten worden. Was kann getan werden, um Situationen wie die soeben geschilderte zu vermeiden?<\/p>\n\n\n\n Zun\u00e4chst einmal ist das Geschehen analytisch zu betrachten. Reviews derartiger Vorg\u00e4nge offenbaren dabei \u00fcblicherweise ein Muster: Fast immer sind menschliche Fehler die Ursache f\u00fcr M\u00e4ngel und Verz\u00f6gerungen im Erkennen und Bew\u00e4ltigen von Vorf\u00e4llen. Denn da qualifizierte Angriffe vergleichsweise selten stattfinden, kommen auch die zur Bek\u00e4mpfung eingesetzten Tools und die gr\u00f6\u00dftenteils manuellen Prozesse selten zur Anwendung. Wenn sie ben\u00f6tigt werden, fehlt es schlicht an Routine, dazu herrschen hoher Zeitdruck und Stress.<\/p>\n\n\n\n Polizei, Feuerwehr und Milit\u00e4r sind h\u00e4ufig mit \u00e4hnlichen Situationen konfrontiert \u2013 auch bei ihnen geht es um einen hohen Handlungsdruck bei ungenauer und sich dynamisch entwickelnder Lage. Um den entsprechenden Anforderungen zu gen\u00fcgen, hat sich in diesen Bereichen ein umfangreiches Trainingswesen etabliert. Ein solches, das ist unsere feste \u00dcberzeugung, gilt es auch in puncto IT-Sicherheit zu schaffen und zu nutzen.<\/p>\n\n\n\n In der IT-Sicherheit gilt wie in jedem anderen Bereich: F\u00e4higkeiten entstehen aus dem koordinierten Zusammenspiel von Prozessen, Technik und den beteiligten Menschen. Unter PPT Framework (PPT: People \u2013 Processes \u2013 Technology) ist dieses Beziehungsgeflecht zum verbreiteten Fachbegriff geworden. Und tats\u00e4chlich, der Reifegrad in den Bereichen \u201eProcesses\u201c und \u201eTechnology\u201c hat sich in den letzten Jahren deutlich verbessert. Und auch im Bereich \u201ePeople\u201c hat sich bereits einiges getan: Es werden etwa Security-Awareness-Schulungen f\u00fcr Mitarbeiter angeboten. Zudem existiert eine Vielzahl von Fortbildungen, in denen neues Wissen vermittelt wird. Doch ist im Segment \u201ePeople\u201c der Erfolg gegenw\u00e4rtig noch deutlich geringer ausgepr\u00e4gt als in den anderen beiden Bereichen. Das Erkennen und Beheben von Cybervorf\u00e4llen bereitet deshalb nach wie vor h\u00e4ufig gro\u00dfe Probleme. Nur, woran liegt es, dass die Schulungen bislang offenkundig meist nicht so recht greifen? Und kann man sie nicht einfach anders angehen?<\/p>\n\n\n\n Abh\u00e4ngig davon, ob Systeme komplex oder kompliziert sind, unterscheiden sich die Methoden, mit denen man am besten lernt, mit ihnen umzugehen. Es ist wichtig, den Unterschied zwischen den beiden Aufgabenstellungen zu kennen:<\/p>\n\n\n\n Lernen vermittelt dabei neues Wissen, w\u00e4hrend in Trainings bereits bekanntes Wissen praktisch angewendet wird. Fortbildungen eignen sich also gut f\u00fcr komplizierte Zusammenh\u00e4nge, weil sie wissensvermittlungsbasiert sind und neues Wissen zur Erledigung derartiger Aufgaben gut geeignet ist. Wiederum sind Trainings f\u00fcr die Bew\u00e4ltigung komplexer Zusammenh\u00e4nge gut geeignet, da bei diesen Aufgabenstellungen vor allem Erfahrung gefragt ist, und ebenjene wird durch Trainings gezielt erlangt.<\/p>\n\n\n\n Neben der Schulungsform ist zudem zwingend die Perspektive zu ber\u00fccksichtigen und gezielt auszuw\u00e4hlen bzw. an den vorhandenen Bedarf anzupassen. In unseren Trainings hat sich beispielsweise gezeigt, dass Mitarbeiter eines Cyber Defence Centers durch Teilnahme an einem Krisenstabstraining einen viel genaueren Eindruck von den Anforderungen der Krisenstabsarbeit des Managements erhalten.<\/p>\n\n\n\n Und umgekehrt ist es f\u00fcr Leitungsmitarbeiter auch \u00e4u\u00dferst interessant, einen Einblick in die technischen Zusammenh\u00e4nge eines Cyber Defence Centers zu erhalten. Das f\u00f6rdert das Gesamtverst\u00e4ndnis, verbessert Kommunikation und Abl\u00e4ufe. Und gerade die Kommunikation, das stellt sich bei der Analyse vergangener Vorf\u00e4lle klar heraus, ist bis dato eine relevante Fehlerquelle. Wer sie verbessert, wer das Verst\u00e4ndnis zwischen Kunden und Cyber-Defence-Dienstleistern trainiert, der macht einen bedeutenden Schritt nach vorne.<\/p>\n\n\n\n IT-Sicherheit und Cyberangriffe sind heute bereits elementare Themen. Und es ist zu erwarten, dass Cybervorf\u00e4lle in Anzahl, Schwere und Bedeutung f\u00fcr die Unternehmen weiter zunehmen werden. Als entsprechend unerl\u00e4sslich erweist sich so, dass stabile und belastbare Cybersecurity-Strategien bestehen \u2013 und also auch und vor allem Mitarbeiter auf diese Aufgaben vorbereitet und auf sie hin trainiert werden.<\/p>\n\n\n\n FI-TS hat f\u00fcr seine Kunden bereits ein umfangreiches Trainingsprogramm etabliert. Dies reicht von Table Top Exercises, in denen die Abl\u00e4ufe einer Sicherheitsvorfallsbehandlung durchgesprochen werden, \u00fcber den Einbezug technischer Elemente zur Vorfallsbew\u00e4ltigung, wie die Nutzung von Firewalls, IDS\/IPS* oder SIEM**, bis hin zu einer Cyberkrisen-\u00dcbung unter Einbezug des Managements von Kunden und der FI-TS. <\/p>\n\n\n\n Bei Interesse an unseren Security-Services im Rahmen Ihres ma\u00dfgeschneiderten Trainingsplans sprechen Sie uns gerne an! <\/p>\n\n\n\n![\"\"](\"https:\/\/www.f-i-ts.de\/blog\/wp-content\/uploads\/2022\/06\/shutterstock_1241344750bearb-1200x800px_Chaos.jpg\")
<\/a>Wissen, warum: Ursachen analysieren<\/strong><\/h3>\n\n\n\n
<\/a>Fortbildung versus Training<\/strong><\/h3>\n\n\n\n
<\/a>Neue Perspektiven – neue Erkenntnisse<\/strong><\/h3>\n\n\n\n
Fazit und Ausblick<\/strong><\/h3>\n\n\n\n